Maßgeschneiderte Malware lässt COLDRIVER-Hacker expandieren
Der Bedrohungsakteur COLDRIVER hat seine Vorgehensweisen weiterentwickelt: Zum ersten Mal verbreitet die Gruppe jetzt eine Malware, die in der Programmiersprache Rust geschrieben wurde, und geht damit über das einfache Sammeln von Anmeldedaten hinaus.
Die Threat Analysis Group (TAG) von Google hat Einzelheiten über die neuesten Aktivitäten von COLDRIVER veröffentlicht. Die Angriffe nutzen PDFs als Täuschungsdokumente, um die Infektionssequenz auszulösen. Die Köder werden von gefälschten Konten verschickt.
COLDRIVER, auch bekannt als Blue Callisto, BlueCharlie (oder TAG-53), Calisto (oder Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (ehemals SEABORGIUM), TA446 und UNC4057, ist seit 2019 aktiv und zielt auf verschiedene Sektoren ab, darunter den akademischen Bereich, Militär, Regierungsorganisationen, Nichtregierungsorganisationen, Denkfabriken, politische Einrichtungen und neuerdings auch Ziele in der Verteidigungsindustrie und Energieeinrichtungen.
Die US-Regierung teilte letzten Monat mit, dass Star Blizzard vor allem Ziele in Großbritannien und den USA ins Visier nimmt, aber auch Aktivitäten gegen Ziele in anderen NATO-Ländern und den Nachbarländern Russlands beobachtet wurden.
Die Spear-Phishing-Kampagnen, die von der Gruppe durchgeführt werden, zielen darauf ab, das Vertrauen der Opfer zu gewinnen. Dabei werden gefälschte Anmeldeseiten verwendet, um Anmeldedaten zu stehlen und Zugang zu den Konten zu erhalten.
Laut einer Analyse von Microsoft nutzt COLDRIVER serverseitige Skripte, um automatisches Scannen der von ihnen kontrollierten Infrastruktur zu verhindern. Dadurch können sie interessante Ziele identifizieren, bevor sie auf die Phishing-Landing-Pages umgeleitet werden.
Neue Informationen von Google TAG zeigen, dass COLDRIVER bereits im November 2022 gutartige PDF-Dokumente als Köder verwendet hat, um die Zielpersonen dazu zu bringen, die Dateien zu öffnen.
Der Bedrohungsakteur präsentiert diese Dokumente als einen neuen Meinungsartikel oder eine andere Art von Beitrag, der auf dem Personenkonto veröffentlicht werden soll. Dabei bittet er um Feedback von der Zielperson. Wenn der Nutzer das scheinbar harmlose PDF öffnet, erscheint der Text verschlüsselt. Antwortet die Zielperson, dass sie das Dokument nicht lesen kann, schickt der Bedrohungsakteur einen Link zu einem vermeintlichen Entschlüsselungstool („Proton-decrypter.exe“), das auf einem Cloud-Speicherdienst gehostet wird.
Die Wahl des Namens „Proton-decrypter.exe“ ist interessant, da der Angreifer vor allem Proton Drive verwendet, um die PDF-Köder in den Phishing-Nachrichten zu versenden, wie zuvor von Microsoft enthüllt.
Die Forscher von Google TAG erklärten, dass das PDF-Dokument, das in dem Angriff verwendet wurde, auf Proton Drive gehostet war. Die Angreifer geben vor, dass das Tool zur Entschlüsselung der auf der Cloud-Plattform gespeicherten Datei dient.
In Wirklichkeit handelt es sich jedoch um eine Hintertür namens SPICA, die COLDRIVER verdeckten Zugriff auf den Computer ermöglicht und gleichzeitig vorgibt, ein Entschlüsselungstool zu sein.
Frühere Erkenntnisse von WithSecure (ehemals F-Secure) zeigen, dass COLDRIVER in früheren Phishing-Kampagnen im Jahr 2016 eine einfache Backdoor namens Scout genutzt hat. Dabei handelt es sich um ein Malware-Tool der HackingTeam Remote Control System (RCS) Galileo-Hacking-Plattform. Scout wird als „Erkundungstool“ verwendet, um grundlegende Informationen und Screenshots von einem gehackten Computer zu sammeln und die Installation zusätzlicher Schadsoftware zu ermöglichen, so das finnische Cybersicherheitsunternehmen.
SPICA, die erste von COLDRIVER entwickelte Schadsoftware, verwendet JSON über WebSockets für Command-and-Control (C2). Dadurch kann sie beliebige Shell-Befehle ausführen, Cookies aus Webbrowsern stehlen, Dateien hoch- und herunterladen sowie Dateien auflisten und exfiltrieren. Die Persistenz wird durch Methoden einer geplanten Task erreicht.
Nach Ausführung entschlüsselt SPICA ein eingebettetes PDF, schreibt es auf die Festplatte und öffnet es als Köder für den Benutzer. Im Hintergrund stellt es die Persistenz her und wartet in der Haupt-C2-Schleife auf Befehle.
Es gibt Hinweise darauf, dass der nationale Akteur das Implantat seit November 2022 verwendet. Es wurden mehrere Varianten des „verschlüsselten“ PDF-Köders gefunden, was auf verschiedene Versionen von SPICA hindeutet. Als Maßnahme zur Unterbrechung der Kampagne hat Google TAG alle bekannten Websites, Domains und Dateien, die mit der Hackergruppe in Verbindung stehen, zu den Safe Browsing Blocklisten hinzugefügt.
Google hat erklärt, dass die genaue Anzahl der Opfer, die erfolgreich von SPICA kompromittiert wurden, nicht bekannt ist. Es wird jedoch angenommen, dass SPICA nur in „sehr begrenzten, gezielten Angriffen“ verwendet wurde, wobei der Schwerpunkt auf „hochrangigen Personen in NGOs, ehemaligen Geheimdienst- und Militärbeamten sowie Verteidigungs- und NATO-Regierungen“ lag.
Die Entwicklung kommt über einen Monat nach den Sanktionen gegen zwei russische Mitglieder von COLDRIVER durch die Regierungen von Großbritannien und den USA.
Das französische Cybersicherheitsunternehmen Sekoia hat Verbindungen zwischen Korinets und der von der Gruppe genutzten Infrastruktur aufgedeckt, einschließlich zahlreicher Phishing-Domänen und mehrerer Server. Sekoia hebt hervor, dass „Calisto“ dazu beiträgt, die strategischen Interessen Russlands zu unterstützen. Die Domainregistrierung spielte eine entscheidende Rolle für Korinets, vermutlich im Dienst des russischen Geheimdienstes, entweder direkt oder durch eine Vertragsbeziehung.